Experten kritisieren geplantes IT-Sicherheitsgesetz

Der Präsidiumsarbeitskreis “Datenschutz und IT-Sicherheit” der Gesellschaft für Informatik e.V. (GI) hat das in Vorbereitung befindliche IT-Sicherheitsgesetz als unzureichend kritisiert. Das im Entwurf vorgesehene Sicherheitsniveau sei “unzureichend”. Das gelte sowohl in Bezug auf Privatpersonen als auch auf die Unternehmen die zu den Betreibern der sogenannten “Kritischen Infrastrukturen” gehören.
Speziell diesen Firmen will Bundesinnenminister Thomas de Maizière (CDU) Standards für die IT-Sicherheit vorgeben. Er begründete das im August damit, dass Ausfälle der von diesen kritischen Infrastrukturen genutzten IT-Systeme weitreichende, schlimmstenfalls sogar dramatische Folgen für unsere Gesellschaft haben könnten.”
Da das IT-Sicherheitsniveau aber derzeit noch sehr unterschiedlich sei, hält er staatliche Vorgaben für erforderlich: “Früher haben wir die Pflicht zum Anschnallen beim Autofahren geregelt. Heute brauchen wir Sicherheitsgurte für die IT der kritischen Infrastrukturen”, so der Minister damals in der FAZ.
Die Experten der Gesellschaft für Informatik e.V. glauben aber nicht, dass sich die angestrebten Ziele ohne ein Pflicht zur Veröffentlichung neu entdeckt Sicherheitslücken erreichen lassen: “Zur Erreichung eines angemessenen Sicherheitsniveaus – insbesondere in den Unternehmen der Kritischen Infrastrukturen – ist die Veröffentlichung der den Sicherheitsbehörden bekannten bislang unveröffentlichten Sicherheitslücken unverzichtbar. Nur so können sich Unternehmen und Privatpersonen nachhaltig gegen die ständig zunehmenden IT-Angriffe schützen”, erklärt Hartmut Pohl, Sprecher des Arbeitskreises “Datenschutz und IT-Sicherheit”.
Im Gesetzentwurf ist aktuell lediglich vorgesehen, dass Firmen dem Bundesamt für Sicherheit in der Informationstechnik (BSI) Sicherheitslücken- und Probleme mit der IT-Sicherheit melden und die Behörde diese Informationen dann sammelt und auswertet. Ob es sie veröffentlicht, liegt aber im Ermessen des BSI.
“Die international organisierte Kriminalität verdient Milliarden mit dem Handel unveröffentlichter Sicherheitslücken auf dem schwarzen Markt. Da diese Lücken jedoch nach wie vor nicht veröffentlicht werden, sind deutsche Unternehmen und Privatpersonen den IT-Angriffen schutzlos ausgeliefert”, so Arbeitskreissprecher Pohl weiter. Ihm zufolge haben die 70 größten Softwareunternehmen der Welt inzwischen erkannt, dass es wichtig ist, ausnutzbare Sicherheitslücken weitgehend zu eliminieren, und förderten daher konsequenterweise die Veröffentlichung bislang nicht bekannter Sicherheitslücken.
Möglicherweise schwingt bei den Experten auch die Befürchtung mit, dass gemeldete, aber nicht veröffentlichte Sicherheitslücken, durch die Behörden selbst in irgendeiner Form ausgenutzt werden könnten. Dass der US-Auslandsgeheimdienst NSA das so praktiziert, ist seit dem Frühjahr bekannt. Erst kürzlich war zudem durchgesickert, dass der Bundesnachrichtendienst offenbar über ein Budget von 4,5 Millionen Euro zum Ankauf von Wissen über Sicherheitslücken verfügt. Das soll laut “Der Spiegel” auch dafür eingesetzt werden, Informationen zu Schwachstellen auf dem grauen Markt zu erwerben. Damit würde letzendlich eine staatliche Einrichtung halblegale oder sogar völlig illegale Geschäfte mitfinanzieren.
Zero-Day-Lücken werden von ihren Entdeckern oft vertraulich an die Hersteller der Software gemeldet, die dafür teilweise sogar eine Belohnung zahlen. Sie haben so Zeit genug, einen Patch zu entwickeln und zu verteilen. Andererseits werden die Schwachstellen aber auch von Kriminellen – und eben Geheimdiensten – auf dem Schwarzmarkt gehandelt. “Den Markt für Schwachstellen zu unterstützen, ist aus staatlicher Sicht eine extrem schlechte Idee”, zitierte “Der Spiegel” in seinem Bericht zu den Plänen des BND Michael Waidner, den Leiter des Fraunhofer-Instituts für Sichere Informationstechnologie. Denn Zero-Day-Lücken seien auch eine Bedrohung für die eigenen Bürger, Unternehmen und Behörden, da niemand wisse, wer alles Zugriff auf die Schwachstellen erhalte.
Das Innenministerium orientiert sich bei seinem Entwurf für das IT-Sicherheitsgesetz an der 2011 vorgelegten “Cyber-Sicherheitsstrategie für Deutschland” (PDF). Diese sah bereits vor, dass Betreiber von “Kritischen Infrastrukturen” verpflichtet werden, Angriffe auf ihre Netzwerke und IT-Anlagen zu melden. Die Behörden sollen diese Meldungen sammeln, die anderen Unternehmen vor Bedrohungen warnen und auf Grundlage der ausgewerteten Informationen neue Sicherheitsstandards definieren. So soll sich ein Kreislauf entwickeln, mit dem die Sicherheitssysteme aller Betreiber “Kritischer Infrastrukturen” kontinuierlich auf dem neuesten Stand gehalten werden. Für Firmen, die nicht dazu gehören, möchte die Regierung zudem ein “Mindestsicherheitsniveau für IT-Systeme” erreichen.